Mengapa menggunakan web proxy yang terintegrasi dengan AntiVirus???

Transkripsi

1 Mengapamenggunakanwebproxyyangterintegrasidengan AntiVirus??? HalamanwebsangatrentangsekaliterserangwormdanvirusyangtersebardiInternet.SitusWeb,baik sengaja atau tidak sengaja dan karena mereka rentang sehingga dapat diubah tanpa sepengetahuan penulis yang sah, kadang kadang mempunyai referensi script program yang dapat digunakan untuk menginfeksipenggunakomputer.selainitu,situasitelahmemburuksejakbeberapakerentanandalam sistem berbasis gambar yang telah memungkinkan virus untuk dieksekusi dalam format file JPEG. Terakhir, meningkatnya penggunaan applet Java adalah meningkatkan jumlah multiplatform virus menyebarmelaluihttpdanoperasiterlepasdariplatform(pc,palmtop,ponsel)atausistemoperasidi tempat mereka bekerja. Solusi terbaik untuk jenis masalah ini adalah untuk menyediakan semua perangkat klien yang terhubung ke internet dengan program antivirus yang baik dengan real time perlindungan, memeriksa setiap file yang masuk. Namun, ini mungkin tidak cukup untuk dua alasan: tidakadaprogramantivirus,bahkanmerekamemilikimekanismetandatanganuntukmemperbaruidiri, dapat memberikan 100% jaminan terhadap setiap virus; real time memeriksa konten masuk adalah sangatmembebanidalamistilahkomputasidanterutamapadaperangkatyangkinerjanyatidakterlalu baik, ia dapat memperlambat sistem sampai membuat pengguna menonaktifkan antivirus secara realtimeperlindungan.untukalasanini,virussemakindilakukancheckadalahhulu,sebelumviruspotensial dapatmenjangkaupenggunaklien.dengankatalain,sistemantivirusterpusatdigunakanpadaserverserver yang menawarkan layanan tertentu. Contoh yang paling luas adalah bahwa e mail server, yang memiliki sistem yang menganalisis pesan yang masuk dan keluar melalui SMTP dan lampiran untuk memindaivirus.dalamhalini,aplikasiantivirusmemeriksagatewaysmtpsangatwajar,karenae mail wajib untuk melewati itu, sebelum mencapai kotak masuk pengguna. Untuk layanan http, ini tidak begitusignifikan,karenaklienlandapatberpotensimenghubungkanlangsungkesalahsatuserverweb yang tersedia di Internet. Solusi untuk masalah ini memperkenalkan aplikasi yang melibatkan tingkatpintugerbangkelanuntukmengumpulkanhttppermintaankliendanmajumerekakeserverwebyang relevan. Gateway aplikasi ini disebut sebagai Web Proxy dan karena ia mampu menafsirkan protokol http, bukan hanya filter berdasarkan URL, tetapi juga merinci materi yang sedang dilakukan (HTML, JavaScript,JavaApplet,gambar,...)danuntukscanvirus.Salahsatufungsiyangpalingumumdariproxy sejauh ini web cache, yaitu pada disk pengarsipan halaman web yang telah dikunjungi, dalam rangka mempercepatmenampilkanalamaturlyangsamauntukpermintaanpenggunaberikutnya.tujuandari halinijugauntukmengurangikonsumsibandwidthdiinternetdansalahsatuyangpalingdikenalsistem proxy, mampu melakukan fungsi fungsi web cache adalah Squid, didistribusikan dengan lisensi Open Source.ZEROSHELLtidakmemadukanSquidkarenatidakmengumpulkanhalamanweb.Tugaswebyang berfokus pada program antivirus dan filter konten, menggunakan blacklist URL, ditangani oleh HAVP sebagaisistemproxydanclamavsebagaiperangkatlunakantivirus.keduanyadidistribusikandibawah lisensigpl. ProxyModeTransparan Salah satu masalah terbesar ketika menggunakan server proxy adalah bahwa mengkonfigurasi semua webbrowseruntukmenggunakannya.olehkarenaitu,perlumenetapkanalamatipataunamahostdan port TCP yang merespon (biasanya port 8080). Hal ini bisa memberatkan dalam kasus LAN dengan banyak pengguna, tapi lebih buruk lagi, mungkin tidak menjamin terhadap pengguna menghapus konfigurasiiniuntukmendapatkanakseslangsungkeweb,sehinggamenghindariantivirusmemeriksa, akses penebangan dan blacklist. Untuk mengatasi masalah ini, ZEROSHELL Transparent Proxy menggunakanmodusyangmelibatkankliensecaraotomatismenangkappermintaanpadatcpport80. Jelas,untukZEROSHELLuntukdapatmenangkappermintaanwebini,makaharusdikonfigurasisebagai sebuah gateway jaringan, sehingga lalu lintas internet klien berjalan melewatinya. ZEROSHELL akan secara otomatis mengambil http permintaan apakah ini adalah tingkat 2 gateway (jembatan antara Ethernet, WIFI atau antarmuka VPN) atau lapisan 3 gateway (router). Hal ini tetap penting untuk menentukan di mana antarmuka jaringan atau subnet IP permintaan ini harus diarahkan. Hal ini dilakukan dengan menambahkan apa yang disebut HTTP Menangkap Aturan seperti ditunjukkan pada gambardibawahini:

2 Konfigurasirulehttp Dalam contoh pada gambar diatas, http ETH00 dan permintaan dari antarmuka jaringan ETH03 dicapture. Dikeluarkan dari kunjungan ini adalah mereka yang diarahkan pada server web milik /16IPsubnetdanmerekayangberasaldarikliendenganalamatIP Mungkinada beberapaalasanmengapaperluuntukmengecualikanintervensidaritransparentproxypadabeberapa klien dan beberapa web server. Sebagai contoh, salah satu server web dapat membatasi akses hanya untuk klien dengan IP tertentu pada ACLs. Dalam kasus ini, jika capturing permintaan proxy di atas server, maka akan dicapai melalui IP nya dan ini akan mencegah akses. Di sisi lain, hal itu tidak akan dapatdiotorisasialamatipdariproxydiwebserveracls,karenahaliniakanberartitanpapandangbulu memungkinkan akses ke semua klien yang menggunakan proxy. Jelas, kemudian, bahwa satu satunya solusi adalah menghindari capturing permintaan oleh transparent proxy. Terakhir, perhatikan bahwa aturaniptablesuntukmengarahkankearahlayananproxy(8080tcp)ditempatkandihilirdaricampur tangan mereka di Captive Portal. Berkat ini, Captive Portal dan Transparent Proxy dapat diaktifkan secarabersamaanpadaantarmukajaringanyangsama. KonfigurasidanAktivasiServisProxy Sepertidiilustrasikandalamgambardibawahini,konfigurasilayanandariproxydenganantiviruscheck adalah sangat sederhana. Setelah mengkonfigurasi mesin ZEROSHELL untuk bertindak sebagai router dansetelahmengkonfigurasipadakliensebagaidefaultgateway,ataukonfigurasisebagaijembatandan interposing pada titik di mana LAN arus lalu lintas ke dan dari Internet, cukup aktifkan flag [Enabled] sehingga proxy dapat mulai bekerja. Seperti disebutkan dalam paragraf sebelumnya, web permintaan yang sebenarnya dicegat dan diserahkan ke proxy adalah mereka yang ditentukan melalui konfigurasi [HTTPsesuaiaturan].

3 Konfigurasiproxymelaluiinterfaceweb Perhatikan bahwa, start up layanan dari proxy sangat lambat dibandingkan dengan layanan lain, dan padahardwareyangtidakterlalucepatdapatberlangsunghingga30 40detik.Halinidisebabkanoleh kebutuhan antivirus ClamAV menscan sejumlah file dalam memori mereka. Untuk mencegah hal ini menghalangikonfigurasiwebinterfacedanstart upscriptsuntukintervalwaktuyangpanjang,layanan dimulai asynchronously. Karena itu, ketika proxy diaktifkan atau mengkonfigurasi ulang, item Status tidak ditampilkan sebagai ACTIVE (hijau) langsung, tapi pertama tama ketika STARTING tandanya (oranye) yang menunjukkan bahwa layanan ini telah memuat the signature. Untuk memahami ketika proxysebenarnyamulaitampil,klikpada[manage]untukmereloadhalamankonfigurasi,ataucukupklik pada[proxylog]untukmelihathavpdaemon'sstart uppesan.selamaperiodeawaldarihavpdaemon, aturaniptablesuntukmenangkappermintaanhttpsementaradihapus,lalulintaswebmemungkinkan mengalirsecarateratur,tetapitanpadiscanvirus.beberapaitemkonfigurasidianalisissecaralebihrinci dalamparagrafberikut. AksesLogdanPrivasi Menjadi application gateway http mampu menafsirkan permintaan, agar bekerja dengan benar, web proxy decrypts URL yang dikunjungi oleh pengguna. Secara default, ZEROSHELL tidak mengirimkan informasi ini ke log sistem, yang, jika terkait dengan alamat IP klien meminta halaman web, dapat membantu untuk menelusuri konten mengunjungi dari para pengguna. Namun demikian, penebangan informasi ini dapat diaktifkan dengan memodifikasi item [Access Logging] dari "Hanya URL yang mengandung Virus" untuk "Ada Akses". Dengan melakukan ini, setiap URL yang dikunjungi tersebut tercatat dalam log yang terkait dengan alamat IP klien. Hal ini perlu, sebelum mengaktifkan opsi ini, untuk berkonsultasi undang undang lokal di negara Anda untuk memastikan bahwa penebangan dari URL yang dikunjungi tidak bertentangan dengan hukum privasi nasional. Selain itu, penting untuk menyadari bahwa, seperti memungkinkan NAT di router akses Internet, setiap klien permintaan eksternal dibuat oleh router itu sendiri, dengan cara yang sama permintaan http melewati proxy tampaknyadibuatdarialamatipdariserverproxy.inidapatmenyebabkankesulitandalammenelusuri identitas pengguna yang telah melakukan tindakan ilegal pada remote server. Sebuah solusi untuk masalah ini, yang kurang invasif dalam istilah privasi, bisa untuk mengaktifkan penebangan dari Connection Tracking(dari antarmuka web ZEROSHELL[Firewall][Connection Pelacakan]). Dengan cara

4 ini,tcp/udpkoneksitercatatdalamlogyangmenunjukkansumberip,portsumber,iptujuandanport tujuan.olehkarenaitu,tidakakanmungkinuntukmelacakaktivitaspenggunakonten,namunjejakakan disimpankoneksidibuat.sekalilagi,dalamkasusiniadalahperluuntukberkonsultasidenganundangundangsetempatsebelumsambunganmemungkinkanpelacakan. AntivirusmengecektiapFileGambar UntukwaktuyanglamaitumengirabahwafileyangberisigambarJPEGatauGIFtidakbisamengandung virus, karena hanya terdiri atas data diformat dalam format yang telah ditetapkan, ditafsirkan oleh sistemmelihatsistemoperasi.baru baruini,beberapakomponenrenderinggambartelahmenunjukkan bahwa mereka rentan jika mereka tidak diperbarui dengan tambalan. Sebuah gambar yang dibangun sesuai dapat menciptakan sebuah Buffer overrun dan menjalankan kode arbitrer pada sistem. Sangat mudah untuk memahami keseriusan ini, mengingat sebagian besar konten hypertext di WWW dalam bentuk gambar. HAVP proxy yang dikonfigurasi di ZEROSHELL, secara default gambar di scan menggunakan program antivirus ClamAV. Namun demikian, pada hardware lambat, scanning gambar bisa menunda pembukaan halaman web dengan banyak gambar. Dalam hal ini mungkin untuk menonaktifkanpemindaianfileberisigambar,denganmengatur[periksaimages(jpg,gif,png)]pilihan dari"diaktifkan"ke"disabled" OtomatisupdateofClamAV Kecepatan dari virus baru diletakkan di internet dan diidentifikasi, bertanda antivirus meningkat dan seringdimodifikasi.padadatabaseclamavadapengecualian,berkatfreshclamdaemon,bisadiupdate onlinekapansajasecarateratur.zeroshellmengkonfigurasifreshclamsecaradefaultuntukmemeriksa databaseterbarunyasebanyak12kalidalamsehari.intervalinidapatdiaturmenggunakan[jumlahcek per Hari] parameter, dari minimal 1 sampai maksimal 48 cek per hari. Hal ini juga penting untuk mengatur [Country of the Mirror] dengan benar, melalui mana freshclam memilih situs yang terdekat untuk men download virus database. Namun, perlu diketahui bahwa update secara teratur adalah operasicepatyangtidakmenghasilkanbanyaklalulintas,karenasistemupdatediferensialdigunakan. Daftarwebstiteblacklistdanwhitelist Hal ini sering diperlukan untuk memblokir menampilkan sejumlah situs web karena konten mereka dianggaptidakcocokuntukparapenggunalayananweb.contohnyaadalahorangdewasa hanyamateri, yang tidak boleh ditampilkan pada komputer untuk anak anak yang memiliki akses. Salah satu solusi yang sangat efektif untuk masalah ini adalah web memaksa klien untuk mengakses internet melalui proxy,yangmelaluiperangkatlunakcontentfilteringsepertidansguardian,memeriksaisidarihalaman html memblokir mereka yang diduga milik kategori yang tidak diinginkan. Mekanisme filter ini dapat dibandingkan dengan sistem antispamming. Sayangnya, tidak jelas apakah lisensi rilis DansGuardian kompatibel untuk integrasi dalam suatu sistem seperti ZEROSHELL dan, karenanya, tidak digunakan demi menghindari risiko pelanggaran lisensi. Pada saat ini, satu satunya cara untuk memblokir atau memungkinkan tampilan halaman web adalah daftar hitam dan membolehkan akses halaman web sepertiyangditunjukkanpadagambar.

5 Konfigurasiblacklistwebproxy Whitelists dan blacklist terdiri dari rangkaian URL yang diatur pada baris yang berbeda. Setiap baris dapatberhubungandenganbeberapahalamanwebketikakarakter*yangdigunakan.untukmemblokir situs tempat pada di blacklist, sedangkan garis tanpa *, hanya akan memblokir halaman home dari situs tersebut. Situs yang terdapatdidaftarwhitelistlebihdiprioritaskanketimbangsitusyangterdaftardiblacklist.dengankata lain, jika halaman Web yang sesuai dengan item pada daftar blacklist dan pada saat yang sama ditemukan pada daftar whitelist, maka akses diperbolehkan ke halaman web tersebut. Selain itu, perhatikan bahwa tujuan dari whitelist tidak hanya memberikan akses ke halaman yang seharusnya dapatdilarangolehdaftarblacklist,tetapijugauntukmem bypassantivirusmemeriksa.harapmencatat dengancermattentanghalini.jikaadministratorlaninginmengadopsikebijakanmenyediakanakses kesejumlahsitus/iadapatmenentukan*/*barisdalamdaftarhitam,yangakanmencegahakseske semuahalamankecualiyangtermasukpadadaftarputih. Pengujianproxydanfungsiantivirus Pada dasarnya ada dua alasan mengapa proxy biasanya tidak bekerja dengan semestinya. Pertamatama, kita perlu memastikan apakah mesin ZEROSHELL dikonfigurasi sebagai router atau bridge, dan jugabahwalalulintaskedandariinternetbenar benarberjalanmelewatinya.kedua,andaharusyakin konfigurasi yang benar dari [HTTP sudah sesuai dengan Aturan], yang menentukan permintaan http benar benar diarahkan terhadap proses proxy(havp mendengarkan di :8080). Secara khusus, jika menangkap http request dikenakan pada antarmuka jaringan yang merupakan bagian dari sebuah bridge (jembatan), Anda harus yakin bahwa setidaknya satu alamat IP Anda telah didefinisikan. Cara termudah untuk mengecek apakah proxy bekerja dengan benar adalah untuk memungkinkan penebangan sementara semua akses dan menampilkan log proxy setelah meminta halaman web dari klien. Setelah yakin bahwa web proxy menangkap permintaan seperti yang diharapkan, pastikan perangkat lunak antivirus ClamAV bekerja dengan benar. Untuk melakukan ini, pertama tama periksa log freshclam apakah telah di set untuk diperbarui secara teratur. Lalu, ke URL untuk memeriksa apakah EICAR AV Test pengujian virus (katatidakberbahayaolehpenulis)yangditangkapdandiblokir.terakhir,perhatikanbahwaproxytidak dapat melayani permintaan https(http dienkripsi dengan SSL/ TLS) yang diberikan itu, tidak memiliki kunci pribadi server web, tidak dapat mendekripsi konten dan URL permintaan ini dikemas dalam terowongandienkripsi.